MKD-CIRT National Centre for Computer Incident Response
Нов малициозен софтвер за претплата на Android наречен „Fleckpe“ е забележан на Google Play, маскиран како легитимни апликации преземени над 620.000 пати.
Kaspersky открива дека Fleckpe е најновото дополнување во доменот на малициозен софтвер кој генерира неовластени давачки преку претплата на корисници на премиум услуги, приклучувајќи се на редот на други Android малициозни програми, како што се Jocker и Harly.
Хакерите заработуваат од неовластени претплати со добивање дел од месечните или еднократните претплати генерирани преку премиум услугите. Кога хакерите управуваат со услугите, тие го задржуваат целиот приход.
Податоците на Kaspersky сугерираат дека тројанецот е активен од минатата година, но неодамна бил откриен и документиран.
Повеќето жртви на Fleckpe се наоѓаат во Тајланд, Малезија, Индонезија, Сингапур и Полска, но помал број на инфекции се наоѓаат низ целиот свет.
Kaspersky откри 11 Fleckpe тројански апликации кои имитираат уредувачи на слики, библиотеки со фотографии, премиум тапети и друго на Google Play, дистрибуирани под следниве имиња:
com.impressionism.prozs.app
com.picture.pictureframe
com.beauty.slimming.pro
com.beauty.camera.plus.photoeditor
com.microclip.vodeoeditor
com.gif.camera.editor
com.apps.camera.photos
com.toolbox.photoeditor
com.hd.h4ks.позадина
com.цртање.графити
com.urox.opixe.nightcamreapro
„Сите апликации беа отстранети од пазарот до моментот кога беше објавен нашиот извештај, но малициозните хакери можеби распоредиле други, сè уште неоткриени апликации, така што реалниот број на инсталации би можел да биде поголем“. објаснува Kaspersky во својот извештај.
На корисниците на Android кои претходно ги инсталирале апликациите наведени погоре им се препорачува веднаш да ги отстранат и да извршат AV скенирање за да ги искорнат остатоците од малициозниот код што се уште е скриен во уредот.
По инсталацијата, малициозната апликација бара пристап до содржината за известување потребна за снимање на кодови за потврда на претплатата на многу премиум услуги.
Кога ќе се стартува апликацијата Fleckpe, таа декодира скриен payload што содржи малициозен код, кој потоа се извршува.
Овој payload е одговорен за контактирање со command & control (C2) серверот на хакерот за да испрати основни информации за новоинфицираниот уред, вклучувајќи ги MCC (Mobile Country Country Code) и MNC (Mobile Network Code).
C2 одговара со адреса на веб-страница која тројанецот ја отвора во невидлив прозорец на веб-прелистувачот и ја претплатува жртвата на премиум услуга.
Ако треба да се внесе код за потврда, малициозениот софтвер ќе го земе од известувањата на уредот и ќе го достави на скриениот екран за да ја финализира претплатата.
Предниот план на апликацијата сè уште им ја нуди на жртвите ветената функционалност, криејќи ја нивната вистинска цел со што ја намалува веројатноста за сомнежи.
Во најновите верзии на Fleckpe, анализирани од страна на Kaspersky, програмерите го префрлија најголемиот дел од кодот за претплата од payload во матичната библиотека, оставајќи го payload одговорен за пресретнување на известувањата и прикажување на веб-страници.
Kaspersky верува дека креаторите на малициозниот софтвер ги имплементирале овие модификации за да ја зголемат евазивноста на Fleckpe и да ја направат попредизвиклива за анализа.
Иако не е толку опасен како spyware или малициозен софтвер за крадење податоци, тројанците за претплата сè уште можат да направат неовластени трошоци, да собираат чувствителни информации за корисникот на заразениот уред.
За да се заштитат од овие закани, на корисниците на Android им се препорачува да преземаат апликации само од доверливи извори и програмерите да обрнат внимание на бараните дозволи при инсталацијата.
Извор: BleepinComputer